Misc.

2018/01/09

例の CPU 脆弱性問題の Windows 関連の続報(リンクまとめ+α)

※情報の更新が激しく、このページも見にくくなってしまいました。
※1 月 はじめの累積更新(、セキュリティのみ、マンスリー品質ロールアップ)が、1/10 の定例更新の前倒し提供でした。Windows 以外の更新(Adobe Flash とか Office とか)は定例で 1/10 に配布されています。
※ 一部の AMD プロセッサ搭載システム向けへの配布が停止されていましたが、1/18 までに対策版が出揃いました(注:Microsoft Update Catalog のみで提供のものもあり)。
※ドキュメントの日本語化も進んでます。以下のリンクの /en-us//ja-jp/ にしてみて。でも最新情報は /en-us/ で。例えば、以下の FAQ 9 とか。
※ファームウェア(マイクロコード)の更新を必要とする軽減策は、CVE-2017-5715 (Variant 2: Spectre)だけ。CVE-2017-5753 (Variant 1: Spectre)と CVE-2027-5754 (Variant 3:Meltdown) に対する軽減策は、ファームウェア更新なしで利用可能。ADV180002 の FAQ 9 を参照。
※1/23 時点で ADV180002 が version 10.0 になっています。FAQ 11 に Intel からのパッチ待ったのアナウンス(Windows Updateパッチでなく、ファームウェアパッチのほう)があるので要注意。
※1/26 時点で ADV180002 が version 11.0に。Windows の 1 月のパッチ+CPUのマイクロコードの更新の組み合わせで問題が発生しているデバイス向けに、今度はSpectre (Variant 2) の緩和策だけを無効化する更新(またはレジストリ設定)が...→ Update to disable mitigation against Spectre, Variant 2 (https://support.microsoft.com/en-us/help/4078130/)



例の CPU 脆弱性問題の Windows 対応状況ですが、関連する主な情報へのリンクです。日々、更新されているのでしばらくは毎日チェックしたほうがよいかも。


例えば、サーバーとクライアント向けガイダンスに、Windows Server 2012 R2 以前および Windows 8.1 以前に対応した Get-SpeculationControl (SpeculationControl.zip)の入手方法などが追加されています(これまでの PowerShell ギャラリーのやつは、Install-Module コマンドレットを利用できない古い環境では使えなかった)。

※でも、今朝 6:22 にはSpeculationControl.zip ファイルを正常にダウンロードできていたのに、9:00 頃にやってみると SpeculationControl.zip ファイルが 0 バイトな状態。向こう側の修正を待て。11:30 現在、復旧。

※PowerShell ギャラリーの SpeculationControl モジュールも更新されることがあるので、バージョンを確認し、最新版に更新を(1/9時点で ver 1.0.2、1/12時点で ver 1.0.4)
PS> Get-InstalledModule SpeculationControl
Version    Name                                Repository ...
-------    ----                                ----------
...
 1.0.1      SpeculationControl                  PSGallery ...

PS> Update-Module SpeculationControl

全体:
ADV180002 | Guidance to mitigate speculative execution side-channel vulnerabilities (セキュリティ アドバイザリ)
[URL] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

 Windows Server 2008 R2/2012 R2/2016/semi-annual channel ver 1709向け:
Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities (サーバー向けガイダンス)
[URL]  https://support.microsoft.com/en-us/help/4072698/
Protecting guest virtual machines from CVE-2017-5715 (branch target injection)(Hyper-V 向け追加情報。その後、サーバー向けガイダンスにも追記されました)
[URL] https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms
Guide to protect SQL Server against speculative execution side-channel vulnerabilities(SQL Server 向けガイダンス)
[URL] https://support.microsoft.com/en-us/help/4073225/
 

Windows 7 SP1/8.1/10 向け:
Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities (クライアント向けガイダンス)
[URL]  https://support.microsoft.com/en-us/help/4073119/ 

Surface Guidance for Customers and Partners: Protect your devices against the recent chip-related security vulnerability (1/6 追記:ファームウェア提供予定の Surface の対象モデルはこちら)
[URL] https://support.microsoft.com/en-us/help/4073065/

Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
[URL] https://support.microsoft.com/en-us/help/4072699/


※1月のセキュリティ更新に対応済みでないマルウェア対策製品がインストールされている場合、Windows Updateで更新がインストールされることはありません。また、マルウェア対策製品が入っていない Windows 7(Windows 7標準の Windows Defender はマルウェア対策製品ではない、Microsoft Security Essentials なら最新の状態に更新されていれば対応済み)や Windows Server の場合は、レジストリ設定しないと Windows Update で降ってきません(Windows Server はレジストリ設定しなくても OK でした)。レジストリ設定は以下のコマンドを管理者として実行。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f 


関連:
例の CPU 脆弱性問題にフルアーマーな PC (Windows クライアントとサーバー) (2018/01/07)
Windows Containers Base OS Image "Important" Update(2018/01/06)
仕事始めは Windows Update から(例の Intel/AMD/ARM CPU 問題に関する追記あり)(2018/01/04)


追記:
AMD プロセッサ搭載システムの一部に対するセキュリティパッチ提供は中断中なので注(古いモデルで起動しなくなるとか...)。(1/12 追記:来週提供されるそうです)
Windows operating system security update block for some AMD based devices
[URL] https://support.microsoft.com/en-us/help/4073707
これに関連して(1/15 追加)
Unbootable state for AMD devices in Windows 8.1 and Windows Server 2012 R2
(Microsoft Update Catalog のみ)
 [URL] https://support.microsoft.com/en-us/help/4073576/
Unbootable state for AMD devices in Windows 7 SP1 and Windows Server 2008 R2 SP1
(Microsoft Update Catalog のみ)
[URL] https://support.microsoft.com/en-us/help/4073578/
これに関して(1/18 追記)


Unbootable state for AMD devices in Windows 10 Version 1709 (Microsoft Update Catalog のみ) 
[URL] https://support.microsoft.com/en-us/help/4073290/
January 17, 2018─KB4057144 (OS Build 15063.877) 

[URL] https://support.microsoft.com/en-us/help/4057144/
January 17, 2018─KB4057142 (OS Build 14393.2034) (資格情報ガードに関して既知の問題あり。影響する場合は、資格情報ガードの無効化が必要らしい)
[URL] https://support.microsoft.com/en-us/help/4057142



1/10 さらに追記:
なぜか Windows Server バージョン 1709 の Windows Update で 1 月の更新が検出されない(たぶんWindows Defenderを有効化していないからだと思う)。ので、PowerShell 環境で手動ダウンロード&インストール。

PS> wget http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/01/windows10.0-kb4056892-x64_a41a378cf9ae609152b505c40e691ca1228e28ea.msu .\kb4056892.msu
PS> .\kb4056892.msu


2017/12 の累積更新が適用済みの場合(16299.125 の場合)、差分でもOK。
PS> wget http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/01/windows10.0-kb4056892-x64_delta_d810a354692261ccaef351e06ba0bdecd194013d.msu -outfile .\kb4056892_delta.msu
PS> .\kb4056892_delta.msu


1/11 さらに、さらに追記:Spectre&Meltdown 対策を優先するか、BSoD 問題(AMD プロセッサやウイルス対策の一部)や以下のエラー(どのような状況で発生するか知りませんが)のために今回のパッチをアンインストールするか、あなたはどっち。
2018 年 1 月の更新プログラムを適用後、CoInitializeSecurity がエラーになる事象について
[URL] https://blogs.technet.microsoft.com/askcorejp/2018/01/10/january-2018-security-updates/


1/12 さらに、さらに、さらに追記:新しい情報

Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems(パッチの内容に関するさらに詳しい情報など)
[URL] https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Protect your Windows devices against Spectre and Meltdown(パッチ提供状況や各PCベンダーのファームウェア更新情報など)
[URL] https://support.microsoft.com/en-us/help/4073757/

※ Dell のページ (www.dell.com/support/meltdown-spectre)は日本語ブラウザーだとうまくたどり着けないかも。→ 直リンクはこちら http://www.dell.com/support/contents/us/en/19/article/product-support/self-support-knowledgebase/software-and-downloads/support-for-meltdown-and-spectre
だめなら Dell Support Home (http://www.dell.com/support/home/)にあるmeltdown-spectre リンクから。半ばあきらめていたうちの Dell サーバー(11G) も開発中らしい。えがった、えがった。

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。